惠普终端服务器集群系统安装配置手册.docx

Windows Terminal Service 终端服务器集群系统 安装配置文档 修订： 作者：神州数码-毋果津-2006年3月 版本1.0 作者：惠普-靳玉罡-2006年7月 版本1.1 作者：惠普-靳玉罡-2006年10月 版本1.2 目 录 1 配置说明 1.1 配置环境构成 域控制器+集中存储服务器：Windows Enterprise Server 2003 域控制器安装DNS 10.1.1.1 255.255.255.0 DNS:10.1.1.1 计算机名：win2003server 推荐配置：单CPU、512M内存、系统盘符-C、集中存储盘符-D 终端服务器1：Windows Enterprise Server 2003 10.1.1.10 255.255.255.0 DNS:10.1.1.1 计算机名：terminal1 终端服务器作为独立服务器加入域 推荐配置：双CPU、4G内存、系统盘符-C 终端服务器2：Windows Enterprise Server 2003 10.1.1.11 255.255.255.0 DNS:10.1.1.1 计算机名：terminal2 终端服务器作为独立服务器加入域 推荐配置：双CPU、4G内存、系统盘符-C 终端客户机：Windows XP 10.1.1.100-199 255.255.255.0 DNS:10.1.1.1 1.2 安装配置步骤 域控制器 终端服务器 瘦客户机 1． 安装终端服务模块 安装应用类软件（1-2种） 2．建立独立用户 （测试后删除） 3．用户登陆测试基本设置 正常登陆后继续-> 安装域控制器和DNS服务 4.建立组织单位（terminal servers） 5.加入主域和该组织单位 5.建立全局组（remoteusers） 6.建立用户群（u01-u0n） 7.建立漫游配置文件 8.建立用户个人目录 9.配置组织单位策略（打开允许通过全局用户通过终端服务登陆）并更新组织单位策略 10.重新启动 11．用户登陆测试漫游文件配置和用户个人共享目录 正常使用漫游文件和个人共享目录后继续-〉 12．配置组织单位增强策略（如会话、连接、登陆等计算机和用户增强策略） 13．重新启动 14．测试增强功能是否生效 正常使用增强功能后继续-> 15.配置网络负载均衡 DNS轮询 成功后删除该配置 16．测试轮询是否生效 正常使用轮询功能后继续-〉 17．配置网络负载均衡 NLB 18.测试网络负载均衡是否生效 正常使用后继续-> 19.配置会话目录 20．测试会话目录正常工作后测试整体完毕 2 调试步骤 2.1 终端服务模块安装配置 2.1.1 安装终端服务模块 在服务器上面安装终端服务模块，安装完毕后包含三个基本模块，即终端服务配置、终端服务管理、终端服务授权。 在每台终端服务器上，添加或删除程序中，去除IE增强的安全设置，增加终端服务器，或者是通过管理服务器，服务器配置，添加终端服务组件。 2.1.2 终端服务配置 终端服务配置-连接部分 终端服务配置-服务器部分 2.1.3 终端服务器上应用软件安装 切记使用以下方法安装程序 终端服务器的“添加/删除程序”中，选择“添加新程序”，进行应用软件的添加。 如果不使用可能不是多进程方式。 以Office为例 此处输入的产品密钥和WinXP中安装Office的密钥不同，需要使用相符的密钥。 完成应用软件的安装。 在其它终端服务器上重复该操作。 2.2 域控制器配置 2.2.1 在域控制器上面创建组织单位、并将终端服务器加入该组织单位 在域控制器下面新建一个组织单位。命名为terminalservers. 依次将终端服务器 Terminal1-Terminal N加入该组织单位 2.2.2 创建全局终端服务用户组、创建用户并加入该全局组 在域控制器上，创建全局remoteusers组 域控制器上， 1-依次增加终端用户u01,u02,u03,u04 2-依次将u01,u02,u03,u04隶属于remoteusers全局组。 2.2.3 指定漫游配置文件和共享网络文件夹路径 更改终端用户u01终端服务配置文件的路径至。 更改终端用户u01终端服务主文件夹的网络路径为，连接Z盘-〉 以次类推设置u01至u0n(或者通过脚本生成) 2.2.4 定制用户配置文件 配置文件权限说明： c:\documents and setting下的default user组里面的绝大多数配置将影响未来的用户初始登陆配置，如桌面、本地收藏夹… c:\documents and setting下的all user组里面的开始菜单程序将始终影响所有用户登陆后开始菜单的选项。 所以正确的配置方法为，按照客户需求先将all user组里面的开始菜单程序减少到最小集。然后使用default user组里的配置文件按照多个用户组进行不同的定制并分别拷贝到不同的用户组具体用户的配置文件路径之中。 制作方法：拷贝c:\documents and setting下的default user组里面的内容并制作一套副本d:\remoteusers\u01并将其拷贝到各个用户配置文件指定路径下。 2.2.5 多次复制用户配置文件 为了将配置文件与操作系统文件夹分开，我们将在D盘下建立目录remoteusers，在remoteusers下为每位终端用户建立各自的配置文件目录d:\remoteusers\u01---u0n。将上面修改过的配置文件依次拷贝入各个用户文件夹。 如果此目录为空，终端客户第一次登录时，系统将自动复制c:\documents and setting\Default user目录中的文件到该登陆用户的指定目录中。 2.2.6 设置配置文件主目录和用户目录权限 将d:\remoteusers文件夹设置为共享，并指定共享权限为：remoteuser全局组（更改+读取），通过删除继承权限拿掉every one组和其它非必要用户组。 更改d:\remoteusers\u01文件夹的安全权限为：u01用户（修改+读取） 通过删除继承权限拿掉every one组和其它非必要用户组。 从安全角度考虑，删除EveryOne用户访问此目录的权限并同时阻止remoteuser目录的权限继承。在每终端客户目录安全选项，选择高级－去除打钩项－选择删除。 依次更改u01文件夹到u0n文件夹为每位终端用户自己的目录增加完全控制权限。 2.2.7 终端服务器本地权限继承 注意首先要将所有的终端服务器加入域中并重新登陆为域内计算机。这样才能看到域内的组。 当修改域控制器全局策略或者组织单位策略后，重新启动终端服务器即可将该全局策略导入终端服务器本地，无需进行本地组策略或者本地安全策略的配置。 2.2.8 配置组织单位中增强的策略 A.域控制器上面的组织单位里面的组策略编辑器。(增强配置) 在域控制器上Active directory用户和权限设置里面打开terminalservers组织单位的组策略。 在该组策略编辑器里面可以做以下设置： 1． 客户端/服务器数据重定向-不必修改默认配置。 2． 加密与安全性-在需要安全连接时可以进行设置。 3． 授权-不必修改默认配置。 4． 临时文件夹-在不希望生成临时文件夹时可以进行设置。 5． 会话目录-加入session directory时可以通过这里进行设置。 备注：会话状态分为三种（断开、注销、活动） 断开为网络连接断掉而会话活动 注销为网络连接断掉且会话停止 活动为会话活动 6． 会话-不必修改默认配置。 7． Keep-Alive-不必修改默认配置。 8． 自动重连接-是一个非常有用的选项，如果网络断掉，在5秒内最多可以发起20次左右的重新连接请求，快速连接回原来的会话中。 建议设置为启用 9． 限制终端服务用户到一个远程会话-非常有用，这样我们可以不管会话和连接的状态强制指定终端服务用户从哪里断下来，从哪里连上去，不会产生多余的会话和其它容易引起误解的配置。也不必考虑所谓会话的时间限制或者keep-Alive等选项。 建议配置为启用 2.3 终端服务器负载均衡 设置终端服务器的负载均衡有两种方法。 l 在域控制器中的DNS设置IP轮询。 l 终端服务器中设置网络负载均衡或使用网络负载平衡管理器； 以上方法均可实现终端服务器的负载均衡。并且都可以实现终端客户机和终端服务器失去连接后，自动和其它终端服务器连接，终端服务器的NLB和负载平衡管理器重新连接的速度要比DNS IP轮询快些 2.3.1 方法一：设置域控制器的DNS轮询 在域控制器的DNS设置中，正向查找区域相应位置增加主机。名称cluster是终端客户访问终端服务器的名称，IP是第一台终端服务器的IP地址。 再增加一台主机，名称同样为cluster，IP为第二台终端服务器的IP地址。 2.3.2 方法二：设置终端服务器NLB NLB设置有两种方法：1、管理工具－网络负载平衡管理器；2、在终端服务器的网卡设置中直接设置。 在终端服务器的网卡上设置NLB操作步骤较少。 在终端服务器1的网卡上启用网络负载均衡，并选择属性。 输入NLB集群的虚拟IP地址和名称， 10．1．1．9 255．255．255．0 C 如果是单块网卡，选择多播，否则NLB无法工作。 主机参数中输入优先级（每终端服务器唯一）、本机网卡的IP设置。 在此网卡的TCP/IP属性中选择高级，添加NLB虚拟IP地址，此处为10.1.1.9 在终端服务器2上完成同样配置 此时，终端客户可以通过虚拟IP地址10.1.1.9访问终端服务。 如需要通过虚拟主机名访问，需在域控制器的DNS设置中增加一条主机记录。域控制器的DNS设置中增加一条主机记录。名称：cluster；IP：10.1.1.9。 主机记录增加完成后，选择cluster记录的属性，选择安全。增加终端服务器terminal1和terminal2，同时添加写入权限给此二台终端服务器。 2.3.3 NLB测试： 终端客户机1上使用远程桌面连接，输入完整的计算机名cluster.domain.local，用户名和相应密码。连接终端服务器。 可以看到此计算机连接到terminal1终端服务器。 使用终端客户机2继续连接 另一台终端客户登录到terminal2终端服务器，（缺图）。 以上配置完成后，可继续配置会话目录（Session Directory） 2.3.4 Session Directory配置 配置会话目录的目的是当终端服务器和终端客户机的连接断开后，终端客户机重新登录时，此时由于有多台终端服务器，会话目录保证断开连接的终端客户可以连接到正确的终端服务器，使终端客户连接到断开前的会话。 会话目录设置分为服务器设置和终端服务器上的设置。在域控制器中，启动Terminal Services Session Directory服务。 Active Directory用户和计算机中，找到Session Directory Computers用户组，在组中增加terminal1和terminal2，使终端服务器可以使用Session Directory 在终端服务器terminal1上，选择终端服务配置－服务器设置－会话目录上右键选择属性。选择加入会话目录，在集群名中填入，会话目录服务器名中填入win2003server。 在terminal2终端服务器进行同样设置。 会话目录设置完成 将终端服务器加入session derictory组里面后，在域控制器上用负载均衡管理器检查是否所有节点是否被激活，里面会看到具体的状态。 2.3.5 Session Directory测试： 因无法模拟更多的终端客户，只在一台客户终端进行测试。 通过模拟有会话目录和无会话目录环境。在无会话目录的环境下，无法做到下面的测试结果。 从客户终端登录终端服务器，选择cluster.domain.local集群地址，看到客户终端首先登录到terminal1终端服务器。 注销此终端服务，手工连接到terminal2终端服务器。 登录到terminal2终端服务器后，建测试文档 选择断开，然后以地址登录 登录后，自动登录到terminal2终端服务器，断开前的文档未丢失 2.4 RDP客户端配置 远程终端的客户机远程连接 3 参考资料 ThinClientsWhitePaperCN.doc TerminalServerWhatsNew.doc TerminalServerSizing.doc TerminalServerSecurity.doc TerminalServerScaling.doc TerminalServerPrint.doc TerminalServerLockdown.doc TerminalServerLicensing.doc SessionDirectory.doc